国内首例个人信息泄露严重

信息产业部电信研究院通信政策与管理研究所研究员 丁道勤

近日，一则有关国内首例电子邮件泄密案的新闻引发社会关注。据悉，浙江律师郭先生在发现自己的私人电子邮件内容竟可以被百度搜索到并公开查阅后，随即向百度公司和万网反映情况，要求查明原因，删除相关链接和内容。
 
一个月后相关内容才被删除。郭先生认为自己的权利受到侵害，他向杭州萧山区法院提起诉讼，将百度公司和电子邮件服务商告上法庭，以著作权和通信秘密权被侵害为由索赔百万余元。该案近日被移送北京海淀法院开庭审理。

本案反映出诸多问题，例如，网络服务提供商所声称的理由能否成为其免责事由，受害者的法律救济手段何在，如何完善网络环境下的个人信息保护等等，这些都值得深入研究。

网络服务提供商难辞其咎

网络服务提供商又称“在线服务提供商”，是网络空间重要的信息传播媒介，支撑着网络上的信息通讯。网络服务提供商主要包括以下5种类别：（1）网络基础设施经营商；（2）接入服务提供商；（3）主机服务提供商；（4）电子公告板系统经营商等；（5）信息搜索工具提供商。美国1995年的《国家信息基础设施白皮书》采用了“避风港”制度，对网络服务提供商的责任加以规范。即，只要网络服务提供商行为符合了一定的法定条件：（1）自己不制造违法信息；（2）确认了违法信息后立即删除或做其他处理（如中止链接等）；（3）在执法机关找寻网上违法者时予以协助，网络服务提供商就不用与网上的违法分子承担连带责任。这样，他们也就可以进入“避风港”，放心经营自己的业务了，网络服务的正常经营并不会受到妨碍。如果绝大多数网络服务提供者真正做到了上述几点，则网络安全也就基本有保障了。

在网络服务提供商的法律责任方面，我国《信息网络传播条例》一定程度上也吸收了美国“避风港”制度，例如第23条规定，“网络服务提供者为服务对象提供搜索或者链接服务，在接到权利人的通知书后，根据本条例规定断开与侵权的作品、表演、录音录像制品的链接的，不承担赔偿责任；但是，明知或者应知所链接的作品、表演、录音录像制品侵权的，应当承担共同侵权责任”。

该案中先且不论两个网络服务提供商是否及时删除页面构成著作权，单看个人私人电邮能公开被搜索，应该说网络服务提供商难辞其咎。

个人信息保护存法律漏洞

虽然，我国在个人信息保护方面，《宪法》和其他法律法规有一些原则性的规定，但整体上说，个人信息法律保护上存在诸多问题，主要表现为以下方面：

首先，在我国，整体上对个人信息的法律保护非常不完备，没有一部独立的个人信息保护法，有关个人信息保护的法律规定比较零散、缺乏系统性，如《民法通则》中只直接规定名誉权的保护。应该说，我国对个人信息的法律保护主要借助于民法上的人格隐私加以保护。

其次，我国缺乏类似欧盟特殊领域的专门性电子通信指令，在通信类法律法规领域，对个人信息的内涵和范围均无明确的界定，过于抽象，多是原则性规定，缺乏应有的操作性和针对性。网络环境下的个人信息保护也多以保护个人财产性信息安全为重点，而非个人资料信息，如各类网上财产账户密码等信息。

再次，现有个人信息法律保护多侧重于公共机构对个人信息的获取利用，例外规则的规定过于繁多，授予信息管理主体过多的权利，没有加强针对信息主体本身个人信息权利的法律保护。

最后，缺乏保护个人信息的程序性的规定和制度，法律救济手段不足甚至缺失。

以上问题都制约了我国个人信息法律保护的水平。

相关法规应予以完善

目前，国信办正在紧锣密鼓进行《个人信息保护法》的相关起草工作，有关工作也已取得了不错的成就。就网络环境下的个人信息保护而言，笔者认为应注意从以下方面进行完善。

首先，在个人信息法律保护方面，应注意个人信息的一般性和特殊性，区分一般个人信息保护和特殊领域个人信息保护，分别进行立法，如网络环境下，个人信息收集处理有其特殊性，可以考虑专门予以先行立法。特殊领域立法应采取开放态度，给相关的行业管理机构留下口子，给其一定的灵活性。

其次，应授予信息主体更多的权利，让其享有充分的自由选择权和决定权。而非授予信息管理主体过多的权利，对公共机构对个人信息的获取利用上规定过多的例外规则。

再次，应加强针对个人信息权利的保护，不仅仅是着眼于个人财产信息的保护。

最后，应规定相应的法律救济手段。“无救济即无权利”，如果无有效的监督救济机制，那么实体法无论设计得如何完善，都可能成为空洞的许诺。因此，应规定相应的法律救济手段。